我正在使用Spring Security和Oauth 2.0身份验证协议保护REST服务。
我已经实现了一个MVC Spring应用程序,并且运行良好。客户端通过提供客户端凭证(client_id)向服务器请求AccessToken
<http pattern="/oauth/token" create-session="stateless"
authentication-manager-ref="clientAuthenticationManager"
xmlns="http://www.springframework.org/schema/security" >
<intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY" />
<anonymous enabled="false" />
<http-basic entry-point-ref="clientAuthenticationEntryPoint" />
<custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER" />
<access-denied-handler ref="oauthAccessDeniedHandler" />
</http>
如果凭据有效,客户端将获得访问令牌作为响应,如下所示:
{
"value": "b663f10d-553d-445b-afde-e9cd84066a1c",
"expiration": 1406598295994,
"tokenType": "bearer",
"refreshToken": {
"value": "36737abf-24bd-4b86-ad22-601f4d5cdee4",
"expiration": 1408890295994
},
"scope": [],
"additionalInformation": {},
"expiresIn": 299999,
"expired": false
}
我希望得到一个包含如下用户详细信息的响应:
{
"value": "b663f10d-553d-445b-afde-e9cd84066a1c",
"expiration": 1406598295994,
"tokenType": "bearer",
"refreshToken": {
"value": "36737abf-24bd-4b86-ad22-601f4d5cdee4",
"expiration": 1408890295994
},
"additionalInformation": {},
"expiresIn": 299999,
"expired": false,
"USER_ID": "1",
"USER_ROLE": "admin",
"OTHER DATA..."
}
有谁知道实现这种方法的方法?
我一直在谷歌上搜索很多,但我还没有找到实现类似场景的示例。如果这个问题听起来很愚蠢,我很抱歉,但我对 Spring 安全很陌生。
对于那些最近正在检查解决方案的人来说,这也是一个很好的解决方案。
@GetMapping("/token")
@ResponseBody
public String userinfo(@RegisteredOAuth2AuthorizedClient("${YOUR_CLIENT}") OAuth2AuthorizedClient authorizedClient) {
return authorizedClient.getAccessToken().getTokenValue();
}
这就是我实现类似于您的方案的方式。
1) 创建自定义令牌增强器:
public class CustomTokenEnhancer implements TokenEnhancer {
@Override
public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
final Map<String, Object> additionalInfo = new HashMap<>();
User user = (User) authentication.getPrincipal();
additionalInfo.put("user_id", user.getId());
additionalInfo.put("business_id", user.getBusinessId());
((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
return accessToken;
}
}
2) 配置中的用户自定义令牌增强器。
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints
.tokenStore(tokenStore())
.tokenEnhancer(tokenEnhancerChain())
.authenticationManager(authenticationManager)
.accessTokenConverter(jwtAccessTokenConverter());
}
/**
* Creates a chain of the list of token enhancers.
* @return
*
* @since 0.0.1
*
* @author Anil Bharadia
*/
public TokenEnhancerChain tokenEnhancerChain() {
TokenEnhancerChain chain = new TokenEnhancerChain();
chain.setTokenEnhancers(Arrays.asList(tokenEnhancer(), jwtAccessTokenConverter()));
return chain;
}
/**
* Get the new instance of the token enhancer.
* @return
*/
@Bean
public TokenEnhancer tokenEnhancer() {
return new CustomTokenEnhancer();
}
就是这样。下次您请求令牌时,您将获得包含附加信息的令牌。
null 很抱歉太啰嗦了。 提前谢了。
客户端通过使用按附录B“application/x-www-form-urlencoded”格式在HTTP请求实体正文中发送下列UTF-8字符编码的参数向令牌端点发起请求: grant_type 必需的。值必须设置为“client_credentials”。 scope 可选的。如3.3节所述的访问请求的范围。 客户端必须如3.2.1所述与授权服务器进行身份验证。 例如,客户端使用传输层安全发起如
客户端通过使用按附录B“application/x-www-form-urlencoded”格式在HTTP请求实体正文中发送下列UTF-8字符编码的参数向令牌端点发起请求: grant_type 必需的。值必须设置为“password”。 username 必需的。资源所有者的用户名。 password 必需的。资源所有者的密码。 scope 可选的。如3.3节所述的访问请求的范围。 如果客户端类
客户端通过使用按附录B“application/x-www-form-urlencoded”格式在HTTP请求实体正文中发送下列UTF-8字符编码的参数向令牌端点发起请求: grant_type 必需的。值必须被设置为“authorization_code”。 code 从授权服务器收到的授权码。 redirect_uri 必需的,若“redirect_uri”参数如4.1.1节所述包含在授权请求
问题内容: 尝试访问API时,我正在努力从Google提取请求令牌。我正在收到标准的400回复。我发送的请求几乎与他们提供的OAuth运动场中生成的请求相同。 我正在使用匿名机密/密钥,并构造了如下的基本字符串: 为了调试发送的请求,我在eclipse中设置了TCP / IP监视。但是,这仅监视Http流量,因此,以下内容反映了所请求的内容的99%。 你能告诉我我做错了什么吗?提前致谢。 下面是我
本文向大家介绍oauth 刷新访问令牌,包括了oauth 刷新访问令牌的使用技巧和注意事项,需要的朋友参考一下 示例 资源